為了保障系統的安全,Bastionhost提供使用者登入方式、使用者鎖定和使用者狀態配置功能。您可以配置使用者SSH登入Bastionhost時僅可使用密鑰認證;配置使用者密碼的鎖定策略,防止使用者密碼被暴力破解;配置使用者狀態,系統管理使用者密碼的有效期間、標記長期未登入使用者帳號等。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,單擊系統設定。
在用戶配置頁簽,參考下表進行相關配置,單擊儲存。
配置項
說明
使用者登入配置
禁止SSH密碼登入
開啟後,在進行SSH協議營運或SSH隧道營運時,將禁止使用密碼登入Bastionhost,僅可使用密鑰或營運令牌認證。
禁止SSH密鑰登入
開啟後,通過SSH協議營運工具登入Bastionhost營運主機或通過SSH隧道營運資料庫時,將禁用密鑰認證,僅允許使用密碼登入或營運令牌進行登入。
關閉私網營運門戶人機驗證
開啟後,通過私網地址登入營運門戶時不再進行人機驗證。由於營運門戶人機驗證需要在公網環境中進行,因此在用戶端無公網的情況下,需啟用此配置,以防止無法登入私人網營運門戶。
登入鎖定配置
使用者鎖定配置
密碼嘗試次數
使用者登入時密碼連續錯誤的最大次數,超過最大次數,則鎖定該使用者。
取值範圍:0-999,預設值為5。設定為0,表示不鎖定賬戶。
鎖定時間長度
使用者鎖定後,無法登入的時間長度,單位:分鐘。
取值範圍:0-10080,預設值為30。設定為0,表示鎖定使用者直到管理員解除。
重設計數器
密碼錯誤嘗試次數未超過設定的密碼嘗試次數時,重新開始計算密碼嘗試次數的時間,單位:分鐘。
說明例如,密碼嘗試次數設定為5,重設計數器設定為5,當您在14:00:00第4次使用錯誤密碼登入失敗,並且您在14:00:00-14:05:00期間沒有再次使用錯誤密碼登入時,在當日14:05:00後,錯誤密碼的嘗試次數將從0開始計算。
取值範圍:0-10080,預設值為5。
IP鎖定配置
密碼嘗試次數
從同一來源IP登入失敗的次數達到設定的嘗試次數時,自動鎖定該IP。預設為30,若設定為0則表示不鎖定IP。IP不提供自動解鎖,請手動解鎖。
重設計數器
有效值1-10080。登入失敗之後,將登入嘗試失敗計數器重設為0次所需要的時間。預設值5。
鎖定IP
被鎖定的IP會在表格中展示,需要手動解鎖後,該IP才能正常訪問Bastionhost。
使用者密碼安全配置
密碼長度
配置使用者密碼的總長度要求。取值範圍:8-64。
密碼複雜度
可自訂配置使用者密碼中包含數字、小寫字母、大寫字母、其他字元等不同種類字元的個數。
密碼相關度
歷史密碼檢查
使用者重設密碼時,不能重設為該使用者曾使用過的密碼。取值範圍:0-30個。預設值為5,0表示不做限制。
密碼不能包含使用者登入名稱稱
勾選可限制密碼內容不能包含使用者登入名稱稱。
密碼有效期間
使用者密碼的有效時間長度,超過有效時間長度後,需要重新設定密碼。密碼有效期間只對本機使用者生效。
取值範圍:0-365,預設值為0,單位:天。設定為0,表示密碼不會到期。
弱密碼檢測策略
僅警告:在設定使用者密碼時,若檢測到所設定的密碼為互連網常見密碼,只在頁面做提醒,仍然允許設定為該密碼。
攔截:在設定使用者密碼時,若檢測到所設定的密碼為互連網常見密碼,不允許設定為該密碼。
用戶狀態配置
使用者長時間未登入標記
使用者超過設定的時間未登入時,使用者狀態標記為長時間未登入,單位:天。
取值範圍:0-365,預設值為0。設定為0,表示不標記狀態。
長時間未登入用戶自動鎖定
開啟後,系統將自動鎖定長時間未登入狀態的使用者,該使用者被管理員解鎖後才可正常使用。
可配置系統每隔多長時間自動檢查一次並鎖定長時間未登入使用者,該使用者需管理員解鎖後才可繼續使用。預設值10分鐘,有效值範圍10-1440分鐘,1-24小時。
自動同步已匯入AD/LDAP使用者資訊和狀態
自動同步已匯入Bastionhost的AD或LDAP使用者源中使用者配置資訊和狀態的時間間隔。
取值範圍:15分鐘-14400分鐘(1-24小時),預設值為4小時。
使用者同步配置
同步RAM使用者登入名稱稱變更
勾選後,若RAM側使用者登入名稱有變更,Bastionhost中對應的RAM使用者登入名稱也會隨之修改。
說明已產生的審計日誌中的使用者登入名稱不會修改,仍會展示為原有登入名稱,需要使用原有登入名稱查詢。
同步時間跟隨使用者狀態自動同步配置,預設值為4小時。